Нов зловреден софтуер представлява сериозна заплаха за корпоративните мрежи

Задълбочен анализ на наскоро открит зловреден софтуер, наречен Decoy Dog (куче примамка), разкри, че той е значително подобрен спрямо Pupy RAT – троянски кон за отдалечен достъп с отворен код, който е създаден по негов модел.

„Decoy Dog има пълен набор от мощни, непознати досега възможности – включително способността да премества жертвите на друг контролер, което им позволява да поддържат комуникация с компрометираните машини и да останат скрити за дълги периоди от време“, казва Infoblox в доклад от вторник. „Някои жертви са комуникирали активно със сървър на Decoy Dog в продължение на повече от година.“

Други нови функции позволяват на зловредния софтуер да изпълнява произволен Java код на клиента и да се свързва с контролери за спешни случаи, като използва механизъм, който е подобен на традиционния алгоритъм за генериране на DNS домейни (DGA), като домейните на Decoy Dog са разработени така, че да отговарят на възпроизведени DNS заявки от пробити клиенти.

„Decoy Dog е добавила функционалност, която не е налична в Pupy“, казва д-р Рене Бъртън, ръководител на отдела за разузнаване на заплахи в Infoblox, пред The Hacker News. „По-специално, то има команда, която казва на компрометираното устройство да спре да говори с текущия контролер и да започне да говори с друг контролер. Можем да определим това с помощта на статистически анализ на DNS заявките“.

Сложният инструментариум е открит за първи път от фирмата за киберсигурност в началото на април 2023 г. след засичане на аномална активност на DNS маяците, което разкрива силно насочените му атаки срещу корпоративни мрежи.

Произходът на Decoy Dog засега остава неясен, но се предполага, че се управлява от шепа хакери от национални държави, които използват различни тактики, но отговарят на входящи заявки, които съответстват на структурата на комуникацията с клиента.

Decoy Dog използва системата за имена на домейни (DNS), за да осъществява командване и контрол (C2). Крайната точка, която е компрометирана от зловредния софтуер, комуникира с контролер (т.е. сървър) и получава инструкции от него чрез DNS заявки и отговори на IP адреси.

Твърди се, че участниците в заплахата, които стоят зад операцията, са направили бързи корекции в инфраструктурата си за атаки в отговор на по-ранните разкрития, като са свалили някои от DNS сървърите за имена, както и са регистрирали нови заместващи домейни, за да установят дистанционна устойчивост.

„Вместо да прекрати дейността си, участникът прехвърля съществуващите компрометирани клиенти към новите контролери“, отбелязва Infoblox. „Това е изключителна реакция, която показва, че извършителят е сметнал за необходимо да запази достъпа до съществуващите си жертви.“

Първото известно разгръщане на Decoy Dog датира от края на март или началото на април 2022 г., след което са открити три други клъстера, които са под контрола на различни контролери. Към днешна дата са открити общо 21 домейна на Decoy Dog.

Нещо повече, един набор от контролери, регистрирани от април 2023 г., се е адаптирал, като е включил техника за геофенсинг, за да ограничи отговорите към клиентски IP адреси до определени местоположения, като наблюдаваната активност е ограничена до Русия и Източна Европа.

„Липсата на разбиране за основните системи на жертвите и уязвимостите, които се използват, прави Decoy Dog постоянна и сериозна заплаха“, казва Бъртън. „Най-добрата защита срещу този зловреден софтуер е DNS.“

„Очакваме участниците да се променят самостоятелно въз основа на новите доклади. Участниците могат да променят някои аспекти на своя C2, например кодирането, сравнително лесно, но други елементи са трудни за промяна и са присъщи на избора им на DNS като C2 механизъм.“

„Истинският въпрос е защо те са избрали да модифицират Pupy за своя C2? Какво е това в този RAT, от което те се нуждаят или което желаят за тези операции? Има много други избори, но те са направили този, когато не е известно друго злонамерено внедряване на Pupy в миналото. Как ще реагират на нашата актуализация ще зависи от това защо са избрали да направят или използват Decoy Dog на първо място.“

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
3 октомври 2023

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, на...
2 октомври 2023

Рансъмуер банди вече използват критичен недоста...

Бандите за изнудване сега се насочват към наскоро поправена критичн...
Бъдете социални
Още по темата
04/10/2023

Милиони мейл сървъри на Exi...

Критична уязвимост от типа „нулев ден“...
03/10/2023

Новият ASMCrypt Malware Loa...

Киберпрестъпници продават нов софтуер за криптиране...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!